Новая уязвимость нулевого дня в браузерных плагинах Java

    Похоже, месяц уязвимостей zeroday продолжается.

    Очередная уязвимость в Java (CVE-2013-0422) уже включена в несколько эксплоит паков (BlackHole Exploit Kit, Cool Exploit Kit, Nuclear Pack). Вот что пишет создатель эксплоит пака BlackHole Exploit Kit:


    Сообщается, что эта уязвимость очень похожа на обнаруженную в августе уязвимость в Java CVE-2012-4681. Атакующий может создать зловредную веб страницу и выполнить произвольный код на уязвимой системе. Работает на последней на текущий момент версии Java 1.7u10

    Создатель Metasploit сообщил, что в ближайшее время в этот фреймворк будет включена описываемая уязвимость (уже выпустили, спасибо timukas). Напомнив, что уязвимость может работать независимо от ОС где установлена Java. Будь то Windows, Linux или MacOS.

    Исходный код уязвимости в качестве исследовательских целей доступен здесь и при удачной работе запускает калькулятор на Windows-системах.

    В качестве временной меры защиты рекомендуется отключить плагин Java в браузерах.
    1. Отключение плагина Java для веб-браузера Safari
    2. Отключение плагинов в Google Chrome
    3. Как правильно отключить среду исполнения Java в Opera for Windows
    4. Отключение плагинов в FireFox


    UPD: видео демонстрация работы уязвимости:



    UPD: Обновление 7u11 также не исправляет уязвимость
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 41
    • +11
      Не успели отбурлеть говна по поводу рельс…
      • 0
        им еще бурлеть и бурлеть
      • +26
        И в очередной раз хочется поправить: не в Java, а в Java Browser Plugin.
        • +7
          От этого не легче. В больших компаниях этот плагин используется для работы, например, системы электронного документооборота и т.д. При чём имеются жётские требования ставить Java определённой версии. Если учесть, что многим интернет также нужен для работы, а кто-то и просто там бездельничает, чревато эпидемиями.
          • 0
            Для этого нужно всего ничего — два разных браузера. Один — с плагином нужной версии, второй — с отключенными плагинами.
            Первый для работы с софтом, второй — для инета.
            • 0
              А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?
              • +1
                Решение простое и очевидное: нужно два компьютера. Один с Java для работы с документами, второй без неё для выхода в интернет.
                • 0
                  А еще два работника: один работает с Java, другой без…
                  • 0
                    Нет, я имел в виду по два компьютера каждому. Иначе придётся удваивать штат сотрудников.
                    • +1
                      А в инет вообще надо с виртуалки ходить, да… ;)
                      • 0
                        Только с возрастом понимаешь, что в тупиковом положении инфантильная защитная реакция — обложить человека матом, да и хрен с ним! — хорошее решение. И ходить по улице лучше с топором. А в Интернет вообще не ходить. Никогда.

                        — О. Дивов, «Другие действия»
                        • 0
                          Шутки шутками, а всякий треш (типа кейгены и т.п.) я ищу (и тестирую) только с виртуалки. спокойнее оно как-то…
                      • 0
                        Вы где-то потеряли свое чувство юмора…
                  • 0
                    А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?

                    Отменить глупое распоряжение
                • 0
                  В компаниях можно использовать AppLocker/SRP и требовать валидную подпись у аплетов.
                  • 0
                    Поставить приложение из веб-старт один раз, ярлык на десктоп, вылючить поддержку Java в браузере.
                • +5
                  Пора бы уже сделать whitelist доменов для java-плагина. Для всех остальных блокировать либо делать запрос пользователю.
                  Проблемы оно конечно не решит т.к. в том же BlackHole используются эксплойты для pdf и flash плагинов.
                  Использование pdf.js вместо расширения от adobe тоже частично должен решить проблему.
                  • +5
                    Хром так и делает
                    • 0
                      Это хорошо, и полагаю процент пробиваемых систем на которых используется Chrome все же ниже, по сравнению с другими браузерами. Однако следует заметить что некоторые системы ДБО требуют для своей работы исключительно IE.
                      • 0
                        А IE регулируется политиками. Совершенно точно можно сделать whitelist на сайты, и, возможно, поигравшись с зонами и их настройками получится сделать ограничение на запуск скриптов с вайтлистом.

                        Что же касается плагина, я не знаю Java, но у меня есть подозрение, что код может не знать URL по которому он был получен. Поправьте, если не прав, плз.
                    • 0
                      Можно установить максимальный уровень безопасности, тогда неподписанные аплеты не будут запускаться.
                      • +1
                        Пора бы уже сделать whitelist доменов
                        NoScript
                      • 0
                        Прочитав первую часть поста собрался было броситься спасать медвежонка томкат. А это оказывается проблема плагина. Не знаю у кого как, но у меня этот плагин под ФФ отказался работать еще несколько обновлений назад, а чинить я его и не пробовал — необходимости до сих пор не возникло…
                        • +6
                          А поясните плз это только про Oracle Java или OpenJDK тоже?
                          • +1
                            Уже и в Nuclear Pack.
                            • +3
                              Похоже, HD Moore делает сначала для эксплоит паков, а потом уже для метасплоита :)
                              • 0
                                Где больше платят видимо :). Банков много на java plugin…
                                Весь бифит или как его там…
                            • –1
                              как же страшно жить…
                              • +3
                                Метасплойт выпустили соответстующий модуль:

                                dev.metasploit.com/redmine/projects/framework/repository/revisions/876d889d820bc30d49ad6aa9f62902316af660c1/entry/external/source/exploits/j7u10_jmx/Exploit.java

                                Здесь немного интересного чтения по сабжу:
                                malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html?m=1
                                • +1
                                  Все таки решение выпилить Java Browser Plugin из MacOS было правильным, похоже это решето никогда не залатают.
                                  • +5
                                    Забавно. Не любое приложение на Java будет работать кроссплатформенно, зато вот уязвимости отлично кроссплатформятся. Ай да java :)
                                    • +2
                                      на сколько я понимаю работает начиная с 6-ой версии java. Видимо сильно в mozilla нахалтурили когда делали реализацию java scripting api… надеюсь что в 8-ой java для новой уже не мозиловской реализации этого api подобных косяков не будет.
                                      Вообще в хроме ни один аплет без разрешения не запускается и я думаю постепенно такая опция будет присутствовать по умолчанию во всех браузерах, хотя делать это всё (вместе с настройками по запуску из браузера для самой java как в её последнем релизе) нужно было ещё раньше.
                                      • +1
                                        Следует напомнить, что после последнего апдейта Java for OS X (не оракловской) во всех OS X-браузерах Java-плагин отсутствует напрочь (опять же, если Вы не ставили оракловскую Java), так что спим спокойно :)
                                        • 0
                                          Так даже в IE java-плагин отсутствует из коробки, его тоже нужно ставить по необходимости. Но прикол в том, что эти плагины очень любит банковский софт, так что кому приходится с ним работать — ставят плагины. Так что тут можно сказать автоматически создается очень приятная для мошенников целевая аудитория.
                                          • 0
                                            daringfireball.net/linked/2013/01/11/apple-java оказывается, и оракловский ява-плагин заблочен Apple.
                                          • 0
                                            Буквально позавчера и чисто случайно увидел что у меня NetBeans употребляет Java 6. Поставил 7 с офф сайта oracle. Думал ещё: а чем старше версия, тем больше дыр залатали. Сегодня увидел новость. Отрубил в Safari > Security > Enable Java. Так как в “Xprotect.plist” не увидел java 7. Непонятно
                                            • 0
                                              OKAY.
                                              firefox заблокировал плагин от jre 7u10, а есть необходимость запустить апплет, без него крокодил не ловится, не растет кокос, и вообще бизнес простаивает. Как его включить?
                                              обновление jre никакого результата не принесло (т.к. и так была последняя версия). Что
                                              • 0
                                                похоже что так:
                                                about:config -> dom.ipc.plugins.java.enabled=true
                                              • 0
                                                Вышел 7u11. Профиксили ли они ту дыру?
                                                • 0
                                                  • 0
                                                    Oracle утверждает, что уязвисмость CVE-2013-0422 пофиксенна — www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html Неужели весь фикс состоит в том, что они повысили уровень безопасности по умолчанию на максимум и теперь все аплеты будут запрашивать подтверждение пользователей на запуск? Но при этом разрешенные аплеты все ровно будут иметь возможность проникать в систему пользователя. Хотелось бы поподробнее узнать об этом.

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.